Аппаратные ключи доступа: настоящая гонка за внедрение

1. Введение: кто победит в гонке за потребителя?#

Аппаратные ключи доступа — самый безопасный способ авторизации, но в потребительских приложениях ими почти никто не пользуется. Производители Security key и смарт-карт годами продвигали этот форм-фактор. Тем не менее, FIDO Alliance Authentication Barometer 2024 показывает, что доля активаций аппаратных ключей доступа в розничном банкинге в 2025 году по-прежнему ниже 5 процентов.

Причина проста. Apple и Google контролируют более 99 процентов мобильного рынка (по данным StatCounter) и именно они решают, какой тип ключа доступа пользователь увидит первым. Поэтому гонку за потребителя выиграет не та компания, у которой самый надежный ключ. Победит тот, кто объединит аппаратное обеспечение с программным, данными и каналами дистрибуции.

1.1 Терминология: аппаратные и синхронизируемые ключи доступа#

Аппаратные ключи доступа — это учетные данные FIDO2, чей закрытый ключ надежно заперт внутри физического защищенного элемента. Ключ никогда не покидает устройство. Синхронизируемые ключи доступа используют ту же криптографию FIDO2, но копируют ключ между вашими устройствами через iCloud Keychain, Google Password Manager или сторонний менеджер паролей. Спецификация W3C WebAuthn Level 3 рассматривает их как один и тот же тип учетных данных с разными политиками хранения. В индустрии аппаратные ключи также называют «привязанными к устройству ключами доступа» или «аппаратными учетными данными WebAuthn». В этой статье мы используем все три термина как синонимы.

Распространенное заблуждение состоит в том, что любой ключ доступа, опирающийся на защищенный элемент в телефоне или ноутбуке, является аппаратным. На практике Apple Secure Enclave и Android StrongBox хранят ключи доступа, которые по умолчанию синхронизируются через iCloud Keychain или Google Password Manager, поэтому закрытый ключ можно восстановить из облака. Единственный потребительский защищенный элемент, который сегодня сохраняет ключ строго локально — это TPM-модуль Windows Hello, да и Microsoft сейчас движется в сторону синхронизации внутри Edge. Поскольку Windows Hello не требует покупки дополнительного оборудования и встроен в ноутбуки, мы исключаем его из гонки потребительских аппаратных решений и фокусируемся на специализированных ключах безопасности, смарт-картах FIDO2 и криптокошельках.

Эта единственная разница — может ли ключ покинуть оборудование — определяет почти все остальные свойства: от уровня надежности NIST до процесса восстановления. Руководство NIST SP 800-63B относит аппаратные ключи доступа к максимальному уровню AAL3, в то время как синхронизируемые ограничены AAL2. Этот разрыв в один уровень имеет решающее значение для регуляторов, которые требуют строгой привязки фактора владения, включая PSD2, PSD3, NYDFS Part 500, индийский RBI 2024 и австралийский APRA CPS 234.

1.2 Почему синхронизируемые ключи доступа заняли место по умолчанию#

Синхронизируемые ключи доступа стали решением по умолчанию, потому что Apple и Google внедрили их первыми и контролируют окно запроса. Apple добавила поддержку ключей доступа в iCloud Keychain в 2021 году, Google Password Manager последовал за ней в 2022 году, и обе компании использовали WebAuthn Conditional UI для отображения синхронизируемых учетных данных прямо в панели автозаполнения. Аппаратный аутентификатор находится на один-три клика глубже в любом стандартном сценарии.

Исследование FIDO Alliance Online Authentication Barometer 2024 сообщает, что 64 процента потребителей в мире знают о ключах доступа, а 53 процента включили их хотя бы для одного аккаунта. Почти все эти подключения — синхронизируемые.

1.3 Где на самом деле разворачивается потребительская гонка#

В этой статье под «потребителями» мы понимаем CIAM. Речь идет о внешних клиентах, входящих в систему банка, криптобиржи, государственных кошельков или платформы для создателей контента. Мы не говорим о корпоративных входах для сотрудников, где аппаратные ключи доступа уже доминируют. Интересный вопрос: какие потребительские сценарии откроются следующими, и кто займет эту нишу первым.

В гонке участвуют два форм-фактора, которые потребители действительно должны приобрести, и три пути распространения.

• Форм-факторы: USB или NFC-ключи и смарт-карты FIDO2, встроенные в платежные карты. Аппаратные криптокошельки стоят особняком как третья нишевая категория.
• Пути распространения: прямые продажи потребителям, устройства, рассылаемые банками или государственными учреждениями своим пользователям, и криптокошельки, покупаемые сторонниками самостоятельного хранения.

1.4 Главный тезис этой статьи#

Качественное оборудование необходимо, но его уже недостаточно. Вендор с самым надежным чипом не выиграет автоматически долю потребительского рынка. Настоящие препятствия лежат выше уровня железа: в окнах браузера, стеках NFC на разных телефонах Android, механизмах восстановления и дистрибуции. Победителем станет компания, объединившая оборудование с инженерией внедрения и наблюдаемостью ключей доступа.

Остальная часть этой статьи посвящена истории, игрокам, препятствиям, реальным сценариям использования и практическому руководству для любой компании, которая хочет выйти из корпоративного сегмента в потребительский.

2. Как развивались аппаратные аутентификаторы?#

Аппаратные учетные данные — не новость. Они появились лет на 30 раньше FIDO. Смарт-карты PKI пришли в государственные структуры в 1990-х годах и были закреплены стандартом NIST FIPS 201 PIV. Затем появились токены RSA SecurID для корпоративных VPN. Карты EMV с чипом и PIN-кодом пришли в платежи в 2002 году. По данным EMVCo, сегодня в обращении находится более 12 миллиардов карт EMV, что делает чип на платежной карте самой массовой платформой аппаратной криптографии в истории.

Та же цепочка поставок защищенных элементов, управляемая IDEMIA, Thales и Infineon (выпускающая более 3 миллиардов чипов в год), теперь производит кремний для смарт-карт FIDO2. Три отраслевых сдвига, которые привели аппаратные аутентификаторы к FIDO2, произошли всего за четыре года, между 2014 и 2018 годами.

2.1 От U2F к FIDO2 (с 2014 по 2018 год)#

FIDO Alliance запустил FIDO U2F в 2014 году, и первые аппаратные токены были выпущены несколькими поставщиками Security key. К 2017 году Google раздал ключи U2F более чем 89 000 сотрудников и в следующем году, по данным Krebs on Security, не зафиксировал ни одного захвата аккаунта из-за фишинга. Но U2F был лишь вторым фактором. У пользователей по-прежнему оставался пароль, а касание ключа было лишь дополнительным шагом. Форм-фактор оставался корпоративным: небольшой USB-ключ для сотрудников Google, правительственных учреждений и горстки криптобирж.

FIDO2 и спецификация WebAuthn изменили ситуацию в 2018 году, превратив U2F в полноценный беспарольный фреймворк. Тот же защищенный элемент, который раньше поддерживал только второй фактор, теперь мог стать основным учетным данным для входа.

2.2 Ребрендинг ключей доступа (2022)#

В мае 2022 года Apple, Google, Microsoft и FIDO Alliance совместно запустили бренд «passkey» (ключ доступа) на конференции FIDO Alliance Authenticate. Идея заключалась в том, чтобы использовать одно простое слово, понятное потребителям как для синхронизируемых, так и для привязанных к устройству учетных данных FIDO2.

Apple внедрила синхронизацию ключей доступа в iCloud Keychain в iOS 16 в сентябре 2022 года (согласно заметкам для разработчиков Apple). В октябре 2022 года за ней последовала Google на Android 9 и выше, о чем сообщалось в ее блоге Identity.

Microsoft отставала от всех. В Windows Hello с 2015 года использовались привязанные к устройству учетные данные на базе TPM (согласно документации Windows Hello), но потребительские аккаунты годами не могли синхронизировать ключи доступа между устройствами. Microsoft добавила поддержку ключей доступа для потребительских учетных записей только в мае 2024 года, а синхронизируемые ключи доступа в менеджере паролей Microsoft Edge появились еще позже, в 2025 году. Таким образом, пока Apple и Google имели преимущество в два-три года, Microsoft все еще наверстывает упущенное с кросс-девайс синхронизацией в собственном браузере.

Производители оборудования ожидали, что этот крупный ребрендинг от четырех гигантов повысит спрос на ключи безопасности и смарт-карты. Но этого не произошло. По данным FIDO Alliance Barometer, синхронизируемые ключи доступа забрали на себя почти все новые потребительские регистрации.

2.3 Разделение на два пути#

В течение 18 месяцев экосистема четко разделилась на два направления. На потребительском рынке доминировали синхронизируемые ключи доступа, где Apple и Google выстроили сценарий по умолчанию вокруг своих собственных менеджеров. В корпоративном сегменте преобладали аппаратные ключи доступа, где IT-отделы закупают ключи безопасности или смарт-карты для идентификации сотрудников. FIDO Alliance оценивает этот корпоративный рынок более чем в 1 миллиард долларов ежегодных расходов на аппаратные аутентификаторы.

Производители оборудования никогда не отказывались от потребителей. Главный вопрос в том, есть ли у них еще реальный путь, или уровень ОС закрыл им доступ навсегда.

3. Кто конкурирует в потребительской гонке?#

Два форм-фактора борются за место на рынке. Ключи безопасности лидируют в прямых продажах энтузиастам и предприятиям. У смарт-карт самый крупный канал дистрибуции через банки: ежегодно выпускается более 1,5 миллиарда EMV-карт (по данным статистики EMVCo).

Конкурирующие вендоры делятся на два лагеря. Производители Security key продают USB или NFC-ключи напрямую конечным пользователям и бизнесу. Производители смарт-карт и защищенных элементов создают чипы и карты для банков. Каждый лагерь сталкивается со своей проблемой себестоимости, и ни один из них не смог самостоятельно решить проблему массовой дистрибуции.

3.1 Кто лидирует в форм-факторе ключей безопасности?#

В этом сегменте конкурируют несколько производителей. Современные ключи обычно поддерживают FIDO2, FIDO U2F, смарт-карты PIV, OpenPGP и OTP через USB-A, USB-C, NFC и Lightning, а некоторые добавляют встроенный сканер отпечатков пальцев. В таблице ниже представлен обзор наиболее значимых вендоров на потребительском и корпоративном рынках.

Одно устройство стоит от 40 до 80 долларов США (согласно страницам с ценами), что приемлемо в корпоративной среде, но убивает внедрение в потребительских масштабах. Проблемы с NFC, восстановлением и дистрибуцией, которые сопровождают этот ценник, подробно описаны в разделе 4.

3.2 Кто лидирует в форм-факторе смарт-карт?#

Производители смарт-карт конкурируют в сегменте банковских FIDO2-решений. Ландшафт вендоров делится на производителей карт и поставщиков чипов. Производители карт, такие как CompoSecure (которая поставляет продукт Arculus FIDO2), IDEMIA, NagraID, Feitian и TrustSEC, сами производят FIDO2-карты. Поставщики чипов, три гиганта в сфере защищенных элементов — IDEMIA, Thales и Infineon, производят защищенные элементы для большинства карт. IDEX Biometrics поставляет сканеры отпечатков пальцев, которые превращают обычную карту в биометрическую смарт-карту.

Проблема дистрибуции для эмитентов уже решена через существующую цепочку поставок платежных карт. Сложность заключается в том, чтобы убедить эмитентов взять на себя дополнительные расходы и обеспечить надежную работу NFC-считывания на разных устройствах.

Смарт-карта FIDO2 добавляет 2–5 долларов к базовой стоимости металлической или биометрической карты (от 5 до 15 долларов). По данным Juniper Research 2024, к 2027 году мировые поставки биометрических платежных карт превысят 140 миллионов единиц.

3.3 А как же гибридные и смежные решения?#

Некоторые другие продукты борются за те же сценарии использования, не вписываясь четко ни в один из форм-факторов. Ledger продала более 7 миллионов кошельков Nano, а Trezor — более 2 миллионов. Оба предлагают FIDO2 в качестве вторичной функции поверх хранения криптовалют. Защищенные элементы телефонов, такие как Apple Secure Enclave и Android StrongBox, технически защищают закрытый ключ аппаратно, но Apple и Google по умолчанию синхронизируют их через iCloud Keychain и Google Password Manager, поэтому для пользователя это выглядит как синхронизируемые ключи доступа. Носимые аутентификаторы, такие как кольца Token Ring и Mojo Vision, остаются на уровне менее 100 000 проданных устройств (согласно публичным заявлениям).

Другими словами, потребительская гонка — это действительно соревнование между ключами безопасности и смарт-картами, где криптокошельки выступают третьей вертикалью, а носимые устройства занимают долю менее 1 процента.

4. Что блокирует потребительское внедрение?#

Четыре структурных препятствия мешают внедрению ключей доступа в потребительских сегментах: иерархия запросов в ОС и браузерах, фрагментация NFC на Android, сложное восстановление после утери устройства и стоимость для конечного потребителя. Ни одно из них не может быть решено производителем оборудования в одиночку.

4.1 Иерархия ОС и браузеров#

AuthenticationServices от Apple по умолчанию использует iCloud Keychain. Даже если проверяющая сторона (relying party) устанавливает authenticatorAttachment в cross-platform, пользователю все равно сначала нужно закрыть окно платформы. Credential Manager от Google делает то же самое на Android с Google Password Manager. На Safari и Chrome в совокупности приходится около 84 процентов доли мобильных браузеров (по данным StatCounter), поэтому два вендора фактически определяют пользовательский опыт для всего мобильного веба.

Браузеры также недоинвестируют в UX аппаратных ключей, поскольку у более чем 99 процентов потребителей нет выделенного Security key (исходя из данных о поставках ключей по сравнению с глобальной долей мобильных устройств на StatCounter). Это создает замкнутый круг. Плохой UX ведет к низкому уровню внедрения. Низкий уровень внедрения означает отсутствие инвестиций. Отсутствие инвестиций ведет к плохому UX.

4.2 Фрагментация NFC на Android#

Работа NFC на Android сильно различается у разных производителей. Samsung, Xiaomi, Oppo и Google Pixel поставляют разные стеки NFC поверх Android Open Source. Некоторые сборки Android 14 даже сломали поддержку сторонних провайдеров ключей доступа на несколько месяцев в 2024 году, согласно Android Issue Tracker. Смарт-карта FIDO2, которая отлично считывается на Pixel 8, может не работать на Galaxy S23 Ultra и вести себя иначе на Xiaomi 14. Никакая централизованная программа тестирования от Google Android Compatibility Program не отлавливает эти регрессии до того, как они дойдут до потребителей.

4.3 Восстановление и утеря#

Синхронизируемые ключи доступа восстанавливаются автоматически, когда пользователь входит в систему на новом устройстве. Аппаратные учетные данные — нет. Пользователь, потерявший ключ безопасности или сломавший смарт-карту, вынужден проходить процедуру восстановления учетной записи или использовать менее безопасные методы. Отчет Verizon 2024 Data Breach Investigations Report показывает, что 68 процентов взломов связаны с незлонамеренным человеческим фактором, включая злоупотребления при восстановлении учетных данных. Руководство NIST SP 800-63B также прямо предупреждает, что восстановление аккаунта — это частый путь к компрометации аутентификации. Поэтому аппаратная привязка надежна ровно настолько, насколько надежен канал восстановления, что означает, что проверяющая сторона (relying party) несет не меньшую ответственность за безопасность, чем поставщик чипов.

4.4 Дистрибуция и стоимость#

Потребительский ключ безопасности продается за 40–80 долларов (согласно ценам производителей). Потребитель, который не считает, что его аккаунту что-то угрожает, просто не будет платить. Банки и криптобиржи, берущие расходы на себя, могут раздавать устройства бесплатно, но тогда бремя технической поддержки ложится на них. Смарт-карты, поставляемые вместе с кредиткой, добавляют от 2 до 5 долларов к базовой стоимости карты в 5–15 долларов (согласно публичным данным производителей смарт-карт, включая материалы для инвесторов CompoSecure).

Эти четыре фактора объясняют, почему на синхронизируемые ключи доступа приходится более 95 процентов потребительских регистраций в финансовых услугах (по данным FIDO Alliance Barometer), даже когда аппаратное решение предлагается в качестве опции.

5. Где аппаратные ключи доступа действительно выигрывают?#

Три потребительские категории дают людям реальную причину носить с собой отдельное оборудование: банкинг и платежи, самостоятельное хранение криптовалют и особо ценные учетные записи. Каждая из них сочетает в себе сильный стимул, надежный канал дистрибуции и последствия, достаточно серьезные, чтобы оправдать некоторые неудобства. За пределами этих трех сегментов синхронизируемые ключи доступа обычно выигрывают за счет удобства.

5.1 Банкинг и платежи#

Банки — самый естественный канал дистрибуции. Они уже отправляют физические карты клиентам. Они также работают в рамках PSD2, PSD3, мнений EBA по SCA, индийских правил 2FA, NYDFS Part 500 и APRA CPS 234. Многие из этих правил требуют использования криптографического фактора владения, которому синхронизируемые ключи доступа не всегда явно соответствуют.

Идея «смарт-карта как кредитная карта» работает, потому что карта уже существует. Банк, выпускающий металлическую карту, платит от 5 до 15 долларов за карту (по данным CompoSecure 10-K). Добавление FIDO2 увеличивает стоимость до 7–20 долларов, согласно анализу Juniper Research. Затем эта единственная карта обрабатывает chip-and-PIN, бесконтактную оплату по NFC, снятие наличных в банкоматах, вход в интернет-банк и подтверждения 3DS транзакций. Потребителя никогда не спрашивают «хотите ли вы аппаратный аутентификатор?». Карта просто приходит по почте.

5.2 Криптовалюты и самостоятельное хранение#

Пользователи криптовалют уже привыкли к идее ношения оборудования. Ledger продала более 7 миллионов устройств Nano и отчиталась о совокупной выручке в размере более 4 миллиардов долларов (согласно ее корпоративной странице). Trezor продала более 2 миллионов единиц. Ключи безопасности также давно занимают прочные позиции в MFA криптобирж: Coinbase, Kraken и Binance поддерживают ключи FIDO2.

Добавление FIDO2 в аппаратный кошелек — это инкрементальная инженерная работа. Устройство за 100 долларов, которое защищает портфель на 50 000 долларов, очевидно, стоит того, чтобы его носить. Криптовалюта остается единственной потребительской категорией, где пользователи покупают оборудование по собственной инициативе.

5.3 Особо ценные учетные записи#

Небольшая группа потребителей защищает аккаунты, потеря которых необратима. Типичные примеры — основная электронная почта, государственные кошельки, аккаунты авторов на YouTube или Twitch, а также учетные данные журналистов. В Advanced Protection Program от Google эта аудитория описывается как «пользователи с высоким риском: журналисты, правозащитники и сотрудники политических кампаний».

OpenAI последовала тому же примеру в апреле 2026 года со своей программой Advanced Account Security для ChatGPT, запустив в партнерстве с Yubico кобрендинговый набор из двух ключей YubiKey C NFC и YubiKey C Nano за 68 долларов. Программа полностью отключает вход по паролю, электронной почте или SMS и требует использовать ключи доступа или физические ключи безопасности, ориентируясь на журналистов, выборных должностных лиц, диссидентов и других пользователей ChatGPT из группы риска. Пока рано говорить, сколько пользователей заплатят 68 долларов за этот дополнительный уровень защиты, но это самая наглядная проверка того, могут ли ценные потребительские аккаунты стимулировать добровольное внедрение аппаратных решений за пределами крипты и банкинга.

Индекс Cybersecurity Readiness Index 2024 от Cisco также показывает, что лишь 3 процента организаций имеют зрелый уровень безопасности. Отчет GAO о кибербезопасности за 2024 год отмечает захват учетных записей как один из пяти главных федеральных рисков, что значительно расширяет пул потребителей, нуждающихся в такой защите, далеко за пределы изначальной ниши журналистов.

6. Почему одно только оборудование не победит#

Владение лучшим оборудованием не гарантирует долю потребительского рынка. Существует пять разрывов между производителем железа и конечным потребительским продуктом: дистрибуция, онбординг, восстановление, кросс-девайс сценарии и аналитика. Устранение каждого из них требует навыков, выходящих за рамки проектирования микросхем.

1. Дистрибуция: у производителей оборудования нет реальных прямых отношений с потребителями. Теоретически любой может заказать YubiKey на yubico.com, но на практике покупателями выступают ИБ-специалисты, IT-администраторы и небольшая группа энтузиастов. Этот канал не масштабируется на массовых потребителей, которые никогда не слышали о бренде и не станут искать аутентификатор за 50 долларов. Банки, телекомы, ритейлеры и разработчики ОС — это те, кто владеет отношениями с потребителем, поэтому производителю оборудования для массового рынка нужен партнер или white-label сделка.
2. Онбординг: каждый шаг, который потребителю нужно сделать для настройки ключа доступа, стоит вам пользователей. Отчеты о внедрениях в банках показывают показатели оттока (drop-off) от 30 до 60 процентов на этапе регистрации, что соответствует бенчмаркам института Baymard по брошенным корзинам.
3. Восстановление: потребительский продукт без сценария восстановления сломан изначально. Для восстановления требуются сигналы на уровне аккаунта, верификация личности и оценка рисков (risk scoring) — все это живет на стороне проверяющей стороны (relying party).
4. Кросс-девайс сценарии: один пользователь входит в систему с телефона, ноутбука, смарт-ТВ и даже автомобиля. Аппаратный ключ живет только на одном устройстве. Поэтому нужна умная маршрутизация между аппаратными и синхронизируемыми ключами доступа, чтобы избежать тупиков в UX.
5. Аналитика: производители оборудования обычно отгружают товар и забывают. Они считают проданные единицы и активированные лицензии. Они не видят, когда WebAuthn-сессия прерывается ошибкой или пользователь отказывается приложить карту. Без измерений невозможно закрыть ни один из остальных четырех разрывов.

Вендоры, которые решают эти пять проблем внутри собственного продукта, становятся сквозными платформами аутентификации. Те, кто этого не делает, остаются в бизнесе комплектующих и продают их для чужих платформ.

7. В чем главный рычаг? Инженерия внедрения#

Инженерия внедрения (adoption engineering) означает объединение аппаратных ключей доступа с программным обеспечением, которое стимулирует регистрацию, измеряет каждую сессию и обходит неработающие маршруты. Ни один из этих аспектов не связан с железом. Все четыре необходимы для победы на потребительских рынках, и работают они только как замкнутый цикл. На диаграмме ниже показано, как эти активности связаны друг с другом.

По данным FIDO Alliance Authentication Barometer 2024, 53 процента потребителей включили ключи доступа хотя бы на одном аккаунте, но доля активации аппаратных ключей в регулируемых секторах по-прежнему ниже 5 процентов. Это разрыв в 10 раз, и инженерия внедрения — то, что его сокращает. Рабочая группа W3C WebAuthn рассматривает этот разрыв как проблему развертывания, а не как проблему спецификации.

7.1 Телеметрия на уровне воронки#

На уровне воронки наблюдаемость ключей доступа измеряет каждый шаг, от «пользователь нажал 'войти'» до «выдан токен сессии». Без такого инструментария команда не может понять разницу между «пользователь не увидел опцию с аппаратным ключом», «пользователь увидел, приложил карту, но NFC не сработал» и «пользователь завершил процедуру, но проверяющая сторона (relying party) отклонила результат».

Телеметрия воронки дает вам метрики, которые действительно важны: коэффициент активации аппаратных ключей, уровень успеха по устройствам, время на завершение операции и процент отказов на каждом шаге. Спецификация W3C WebAuthn Level 3 определяет 14 различных кодов ошибок, но большинство продуктовых решений отслеживают менее пяти из них, о чем говорилось в выступлениях на FIDO Alliance Authenticate 2024.

7.2 Диагностика на уровне сессии#

Когда происходит сбой аутентификации, служба поддержки должна видеть, что именно пошло не так. Диагностика на уровне сессии фиксирует транспорт (NFC, USB или BLE), код ошибки CTAP, браузер, версию ОС, производителя устройства и тайминги каждого шага. Спецификация FIDO CTAP 2.1 описывает более 20 кодов ошибок, которые могут возвращать аутентификаторы, и они привязаны к конкретным действиям по восстановлению в спецификации W3C WebAuthn Level 3.

Без этой телеметрии сотрудник поддержки видит только «ошибка входа» и может запустить процесс восстановления аккаунта.

7.3 Интеллектуальная маршрутизация устройств#

Некоторые комбинации устройств и ОС стабильно ломаются. Реальные данные из крупных внедрений показывают до 40–90 процентов прерываний на конкретных проблемных парах. Это задокументировано в Android Issue Tracker и в докладах FIDO Alliance Authenticate 2024.

Логика маршрутизации, которая скрывает вариант с аппаратным ключом на заведомо проблемных комбинациях и переключает пользователя на лучший доступный резервный путь, избавляет от неудачных попыток входа. Но принимать такие решения можно только после того, как данные аналитики выявят эти пары среди примерно 24 000 различных моделей Android, отслеживаемых в базе данных устройств OpenSignal.

7.4 Непрерывная итерация с эмитентами#

Банки и финтех-компании обычно запускают пилоты и полномасштабные внедрения циклами от 6 до 12 месяцев (по данным исследований Gartner). Побеждает платформа, которая превращает данные наблюдаемости (observability) в еженедельные обновления, исправления багов и неуклонно растущие показатели успеха (success rates). Статичное внедрение с ежеквартальным обзором проигрывает непрерывной итерации.

8. Так кто же в итоге выиграет потребительскую гонку?#

Ни один сугубо аппаратный (pure-play) вендор не выиграет потребительскую гонку в одиночку. За статус платформы потребительской аутентификации борются три архетипа: банки и эмитенты, производители оборудования (разрабатывающие софтверные слои) и разработчики ОС. Банки сегодня лидируют, потому что у них есть физическая дистрибуция и регуляторное прикрытие в виде PSD2 и NYDFS Part 500. У платформ ОС оборудование уже находится внутри каждого телефона и ноутбука, но пока Apple и Google по умолчанию синхронизируют ключи доступа, они остаются конкурентами в сегменте синхронизируемых ключей доступа, а не аппаратных.

8.1 Почему сегодня лидируют банки#

Сегодня банки лидируют на рынке потребительских аппаратных ключей доступа. В их пользу играют четыре фактора. Они уже выпускают физические карты. У них есть поддержка со стороны регуляторов: PSD2, PSD3, NYDFS Part 500, RBI и APRA CPS 234. Им доверяют потребители. Наконец, они могут абсорбировать надбавку к себестоимости в 2–5 долларов на весь свой портфель (судя по раскрытым данным производителей смарт-карт).

Банки, которые объединят эти четыре преимущества с инженерией внедрения, обеспечат себе многолетнее удержание клиентов, подключивших ключи доступа. Банки, которые просто купят оборудование и посчитают работу выполненной, столкнутся с теми же однозначными процентами активации, о которых отрасль отчитывается последние два года.

8.2 Как насчет производителей оборудования, разрабатывающих ПО?#

Второй архетип — вендор оборудования, который создает программный слой. Несколько производителей ключей безопасности и смарт-карт начали этот переход, но стоит уточнить, какое именно ПО они предлагают. Большинство из них — это платформы IAM, управления парком устройств или адаптивной аутентификации, а не инструменты наблюдаемости ключей доступа на уровне воронки, которые необходимы для преодоления разрыва в потребительском сегменте.

• Yubico создала самую комплексную платформу из всех. Подписка YubiKey as a Service сочетает в себе лицензирование на пользователя, клиентский портал для управления поставками (FIDO Pre-reg), приложение Enroll и глобальную доставку, интегрированную с Okta, Microsoft Entra ID и Ping Identity. Этот продукт — в первую очередь уровень корпоративной доставки и жизненного цикла, а не потребительская аналитика.
• Thales дополняет аппаратные ключи SafeNet eToken платформой SafeNet Trusted Access (облачная Identity-as-a-Service с SSO и адаптивной аутентификацией).
• OneSpan интегрирует свое оборудование DIGIPASS с платформой OneSpan Cloud Authentication с упором на банкинг и финтех.
• HID Global поставляет смарт-карты Crescendo вместе с HID Authentication Service и мобильным приложением HID Approve.
• CompoSecure расширяет свои смарт-карты FIDO2 Arculus приложением-компаньоном и SDK для разработчиков банков.

Пока что большинство этих вендоров получают основную часть выручки от оборудования. Компании, которые расширят свой стек ПО от логистики и IAM до реальной наблюдаемости сессий (passkey observability), смогут стимулировать внедрение от начала и до конца. Те, кто этого не сделает, останутся в корпоративном сегменте в роли поставщиков компонентов.

8.3 Что насчет операционных систем?#

Платформы ОС — особый случай. Оборудование уже существует — Apple Secure Enclave, Android StrongBox и чип Pluton в Windows 11 установлены в каждом устройстве. Но политика ключей доступа по умолчанию у Apple и Google — это синхронизация, поэтому потребители «из коробки» не получают настоящие учетные данные, привязанные к устройству. iCloud Keychain и Google Password Manager копируют ключ между устройствами, что делает его поведение идентичным синхронизируемым ключам доступа. TPM от Microsoft в Windows Hello — единственный защищенный элемент на массовом рынке, который сохраняет ключи локально, но и Edge движется в сторону синхронизации. Кроме того, мы исключили Windows Hello из нашей гонки, так как он не требует отдельной покупки оборудования.

Теоретически Apple, Google или Microsoft могли бы изменить расстановку сил, предложив привязанные к платформе, несинхронизируемые ключи с таким же отполированным UX. Однако нет никаких публичных признаков того, что они планируют это сделать. До тех пор, пока синхронизация остается стандартом по умолчанию, производители ОС конкурируют на поле синхронизируемых ключей доступа, а выделенные ключи безопасности и смарт-карты FIDO2 остаются единственным реальным путем к аппаратной аутентификации для потребителей.

8.4 Как выглядит настоящая гонка?#

Настоящая гонка — это не «security key против смарт-карты». Главный вопрос: кто создаст потребительскую платформу аутентификации, в которой оборудование будет использоваться там, где это важно, а софт, данные и инженерия внедрения — везде в остальных случаях. Судя по ключевому докладу FIDO Alliance Authenticate 2024, вероятными победителями в ближайшие 3–5 лет станут:

• 3–5 крупных банков и платежных систем, которые сделают смарт-карты FIDO2 стандартом взаимодействия с потребителями.
• 1–2 производителя оборудования, которые успешно превратятся в платформы аутентификации с реальной аналитикой на уровне сессий.
• Программы защиты особо ценных аккаунтов (вроде Advanced Protection от Google и Advanced Account Security от OpenAI), если они докажут, что 5–10 процентов пользователей готовы платить за оборудование в обмен на повышенную безопасность.

Чисто «железные» компании вряд ли выиграют эту гонку самостоятельно. Они окажутся поставщиками микросхем внутри чужих платформ. Это здоровый бизнес и крепкий фундамент в enterprise-сегменте, но не доминирование на потребительском рынке.

9. Что делать банкам, эмитентам и продуктовым командам дальше?#

Основываясь на руководстве FIDO Alliance по развертыванию и рекомендациях Gartner, продуктовым командам стоит предпринять три важных шага. Выберите правильный сценарий использования. Сочетайте каждое внедрение с инженерией внедрения. И выстраивайте цикл обратной связи по данным с первого дня.

1. Выберите правильный сценарий использования: подтверждения 3DS транзакций, step-up аутентификация в регулируемых сценариях и восстановление аккаунтов для групп риска. Не внедряйте оборудование для массового логина потребителей.
2. Дополняйте аппаратные решения инженерией внедрения: инструментарий, обработка ошибок в нативных приложениях, умная маршрутизация устройств и четкое измерение метрик в сравнении с базовым уровнем синхронизируемых ключей доступа.
3. Выстраивайте цикл данных заранее: запускайте телеметрию воронки на этапе первого пилота, а не после раскатки. Команды, которые видят, какой производитель Android, какая версия iOS или какой браузер убивают конверсию, могут вносить исправления за недели. Команды, которые этого не делают, довольствуются догадками и вынуждены ждать тикетов в техподдержку.

Для производителей оборудования вывод еще жестче. Решите, останется ли компания поставщиком компонентов или будет строить платформу. Оба варианта жизнеспособны. Но попытка усидеть на двух стульях оставит платформу без должного финансирования, а развитие «железа» — без фокуса.

10. Заключение#

Аппаратные ключи доступа остаются единственным типом потребительских учетных данных, достигающим уровня NIST AAL3, выдерживающим компрометацию облачного аккаунта и отвечающим самым строгим требованиям PSD2, PSD3 и подобных регуляций. Технология надежна. Кремний готов. Стандарты зрелы.

Чего технология не может сделать сама по себе — так это завоевать потребительский рынок. Apple и Google контролируют ОС и браузеры. Банки и эмитенты контролируют дистрибуцию. Производители оборудования контролируют микрочипы. В потребительской гонке побеждает тот, кто объединит все три компонента с помощью программной платформы, которая стимулирует внедрение, измеряет каждый процесс авторизации и обходит технические барьеры.

Выигрышный рецепт — это оборудование плюс наблюдаемость ключей доступа (passkey observability) плюс непрерывная инженерия внедрения. Вендор или эмитент, который реализует все три элемента, напишет правила игры на потребительском рынке на следующее десятилетие. Все остальные будут просто продавать компоненты для чужих платформ.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

В чем разница между аппаратными и синхронизируемыми ключами доступа для потребителей?#

Аппаратные ключи доступа хранят закрытый ключ внутри физического защищенного элемента: ключа безопасности, смарт-карты FIDO2 или встроенного чипа TPM. Ключ никогда не покидает это устройство. Синхронизируемые ключи доступа хранятся в iCloud Keychain, Google Password Manager или стороннем менеджере паролей и копируются между вашими устройствами через облако. Аппаратные ключи достигают уровня NIST AAL3, потому что приватный ключ невозможно экспортировать. Синхронизируемые ограничены уровнем AAL2, поскольку облачная синхронизация делает ключ восстанавливаемым. Разница в один уровень критически важна для регуляторов в банковской сфере, госсекторе и здравоохранении.

Почему аппаратные ключи безопасности так и не стали массовыми, несмотря на рост популярности ключей доступа?#

Apple и Google контролируют операционные системы и браузеры, которыми пользуется более 99 процентов потребителей (по данным StatCounter). Обе компании отдают приоритет собственным менеджерам паролей в окнах WebAuthn. Аппаратные аутентификаторы спрятаны на один-три клика глубже, согласно документации Apple AuthenticationServices и Android Credential Manager. Поведение NFC на Android фрагментировано в зависимости от производителя телефона, а Conditional UI по умолчанию использует синхронизируемые учетные данные. Кроме того, большинство потребителей не станут платить 40–80 долларов за отдельный ключ, пока сервис не заставит их это сделать.

Какие сценарии оправдывают использование аппаратных ключей доступа для потребителей?#

У потребителей есть достаточно мотивации в трех категориях. Первая — банкинг и платежи, где PSD2, PSD3, RBI в Индии и APRA CPS 234 в Австралии требуют строгой аутентификации клиентов. Вторая — криптовалюты и самостоятельное хранение, где потеря ключа означает потерю средств, и где Ledger и Trezor уже продали более 9 миллионов устройств. Третья — особо ценные аккаунты, включая основную электронную почту, государственные кошельки и аккаунты криэйторов, где захват необратим. Программа Advanced Protection Program от Google и Advanced Account Security для ChatGPT (запущена в апреле 2026 года в партнерстве с Yubico за 68 долларов) нацелены именно на эту аудиторию. За пределами этих категорий обычно побеждают синхронизируемые ключи доступа.

Как смарт-карты FIDO2 вписываются в гонку потребительских аппаратных ключей?#

Производители смарт-карт, такие как CompoSecure (которая выпускает более 100 миллионов металлических платежных карт в год и предлагает Arculus) и IDEMIA, создают NFC смарт-карты с защищенными элементами для хранения учетных данных FIDO2. Потребители уже носят с собой кредитку, поэтому добавление к ней аппаратного ключа доступа избавляет от необходимости в отдельном устройстве. Банки, необанки и криптокастодианы могут объединить аутентификацию, платежи и step-up авторизацию в одном форм-факторе. Сложность заключается в обеспечении надежности NFC-считывания в iOS и Android и в необходимости убедить эмитентов взять на себя надбавку к стоимости в 2–5 долларов за карту.

Что нужно, чтобы действительно выиграть потребительский рынок аппаратных ключей доступа?#

Хорошее оборудование необходимо, но его недостаточно. Победителем станет тот, кто объединит надежный аппаратный форм-фактор с интеллектуальной платформой, которая измеряет каждый шаг регистрации и аутентификации, обходит неработающие комбинации устройств и ОС, а также доказывает эмитентам снижение уровня мошенничества и затрат на поддержку. Без наблюдаемости (passkey observability) вендоры и банки не могут узнать, что 60 процентов пользователей отказываются от NFC-касания (что подтверждают доклады FIDO Alliance Authenticate 2024), или что Conditional UI незаметно поглотил окно запроса (согласно спецификации W3C WebAuthn Level 3). Гонку решат данные и программное обеспечение, а не то, у какого ключа самый прочный титановый корпус.